Il 21 novembre 2025 il Parlamento europeo ha diffuso un comunicato che segna un passaggio importante nel modo in cui l’Unione affronta la sicurezza dei pagamenti digitali.

L’accordo provvisorio raggiunto con il Consiglio sul nuovo Regolamento sui Servizi di Pagamento (Payment Services Regulation, PSR) oltre ad essere un aggiornamento tecnico del quadro normativo esistente e a rappresentare un’estensione naturale della PSD2, costituisce un mutamento di prospettiva.

Il comunicato ufficiale dell’Europarlamento contiene, infatti, un passaggio che costituisce il vero elemento di rottura: per la prima volta, piattaforme come Meta e TikTok potranno essere ritenute responsabili per frodi finanziarie se non rimuoveranno contenuti fraudolenti in seguito a una segnalazione formalmente inoltrata.

È un precedente “politico” che sposta il baricentro della governance digitale europea e mette in discussione la tradizionale distinzione tra responsabilità bancaria e responsabilità delle piattaforme.

Questo nuovo approccio nasce da una constatazione ormai difficilmente contestabile: la frode finanziaria contemporanea oggi non ha più origine nei sistemi bancari, che negli ultimi anni si sono progressivamente blindati grazie alla Strong Customer Authentication (SCA) e a infrastrutture di sicurezza sempre più robuste.

Il terreno di coltura delle truffe si è spostato verso un ecosistema molto meno controllato, cioè quello dei social media, delle piattaforme di video-sharing, dei marketplace e delle app di messaggistica.

Per questi motivi il legislatore europeo ha deciso di intervenire, costruendo un ponte normativo che collega, forse per la prima volta in modo esplicito, la regolazione finanziaria con quella digitale.

Il fallimento del perimetro tradizionale

Negli ultimi anni la SCA introdotta dalla PSD2 ha contribuito a ridurre drasticamente la frode di tipo tecnico, quella che sfruttava vulnerabilità nei sistemi di autenticazione o metodi rudimentali di clonazione dei mezzi di pagamento.

Le banche, su questo fronte, hanno fatto il proprio lavoro e il risultato è stato un inevitabile spostamento strategico da parte dei gruppi criminali: se l’accesso non autorizzato al conto diventa quasi impossibile, il modo migliore per sottrarre denaro è convincere l’utente a trasferirlo volontariamente attraverso tecniche di manipolazione psicologica e attacchi di ingegneria sociale.

È in questo spazio intermedio, tra la sicurezza tecnica e la vulnerabilità comportamentale, che la frode contemporanea ha trovato terreno fertile.

Il Parlamento europeo, nel suo comunicato, descrive l’evoluzione delle truffe come un fenomeno alimentato dall’intelligenza artificiale e dal social engineering.

Le campagne fraudolente utilizzano oggi contenuti video prodotti con strumenti generativi, identità sintetiche difficili da distinguere da persone reali, chatbot in grado di condurre conversazioni credibili e annunci pubblicitari che imitano in modo quasi perfetto quelli delle istituzioni finanziarie.

La superficie d’attacco è quindi esplosa e ad essere minacciato è l’intero ecosistema digitale, non più soltanto il sistema bancario.

La scelta politica del PSR: proteggere il cliente e accelerare la sicurezza bancaria

Il PSR risponde a questa evoluzione con una misura molto chiara: il cliente deve essere rimborsato rapidamente se è vittima di spoofing, di un pagamento non autorizzato o di un ordine impartito sotto manipolazione psicologica.

L’obbligo di rimborso è una scelta chiara, che parte da un presupposto fondamentale: non si può chiedere al singolo cittadino di riconoscere schemi fraudolenti progettati attraverso tecniche di persuasione avanzate, quasi sempre realizzate con strumenti di intelligenza artificiale facilmente accessibili.

Questa impostazione crea inevitabilmente una forte pressione sui prestatori di servizi di pagamento, che diventano in tutto e per tutto i primi responsabili economici del danno; in un quadro del genere, le banche e le fintech avranno un incentivo ancora maggiore a rafforzare le proprie capacità di prevenzione.

Il legislatore stesso va in questa direzione, accelerando la diffusione del Confirmation of Payee (CoP), il controllo in tempo reale della corrispondenza tra nome e IBAN che, in alcuni Paesi (es. UK), si sta rivelando una delle difese più efficaci contro le truffe basate sull’impersonificazione aziendale. CoP è diventato una necessità economica per evitare esposizioni finanziarie crescenti.

Il terzo attore entra nella scena della sicurezza finanziaria

L’elemento realmente innovativo arriva quando il PSR decide di ampliare la catena delle responsabilità oltre il mondo bancario. Se una frode nasce su una piattaforma, e se quella piattaforma è stata informata del contenuto fraudolento senza averlo rimosso, la responsabilità si prolunga.

La piattaforma diventa co-responsabile, ma senza automatismi: è una responsabilità condizionata, che scatta solo in presenza di una segnalazione formale, con prova documentale e tempi di risposta definiti.

In ogni caso e nonostante tutti i suoi limiti, il principio è stato introdotto, e questo è sufficiente a cambiare l’intero quadro: dal punto di vista della governance digitale, significa che le Big Tech non possono più difendersi sostenendo di essere meri intermediari neutri.

Nel settore finanziario, l’Europa ha infatti deciso che l’hosting tecnico non basta a esonerare dalla responsabilità; pertanto, se si ospita un contenuto che genera un danno economico, e se quel contenuto era stato segnalato, il soggetto ospitante partecipa al rischio.

Si tratta di un precedente che potrebbe avere ripercussioni che vanno ben oltre la materia dei pagamenti.

Il meccanismo di rivalsa: una nuova architettura di responsabilità

Il funzionamento del sistema è semplice nella formulazione, ma abbastanza complesso nella pratica. Nel momento in cui si verifica una frode, infatti, la banca rimborsa il cliente e può avviare un procedimento di rivalsa nei confronti della piattaforma se dimostra che la truffa era stata segnalata e che la piattaforma non ha agito in modo efficace.

Perché questo sia possibile, però, servono infrastrutture tecniche che al momento non sembrano esistere, come ad esempio protocolli di segnalazione standardizzati, sistemi di tracciamento delle richieste, conservazione delle prove digitali, gestione delle tempistiche, interoperabilità tra istituti finanziari e piattaforme online.

L’Europa, in effetti, non ha mai costruito un meccanismo tecnico di cooperazione tra PSP e piattaforme digitali, e la necessità di farlo apre un capitolo completamente nuovo.

Oltre alla questione della responsabilità, si pone anche quella della interoperabilità, della governance dei dati e della capacità operativa. In assenza di un protocollo condiviso, la corresponsabilità rischia di rimanere un principio e non una pratica effettiva.

PSR e DSA: due norme che rischiano di contraddirsi

Il DSA vieta il monitoraggio generale dei contenuti caricati dagli utenti. Questo divieto è uno dei pilastri della regolazione europea, pensato per evitare forme di controllo indiscriminato e per preservare la libertà di espressione. Tuttavia, la responsabilità introdotta dal PSR richiede alle piattaforme di individuare e rimuovere rapidamente i contenuti fraudolenti.

La Computer & Communications Industry Association (CCIA), che rappresenta alcune delle più grandi aziende tecnologiche, ha già espresso preoccupazioni, sostenendo che una “shared liability among multiple sectors” (banche, piattaforme, operatori di comunicazione) rischia di ridurre gli incentivi alla prevenzione della frode; ha inoltre sollevato “preoccupazioni normative e operative circa la compatibilità con DSA / GDPR.

La Commissione europea dovrà pertanto chiarire la cornice giuridica entro cui questi obblighi possono coesistere.

Una possibile soluzione potrebbe essere quella di qualificare la frode finanziaria come una categoria di rischio specifico e circoscritto, assimilabile ai rischi sistemici che il DSA consente di monitorare in modo mirato; in questo modo non si violerebbe formalmente il divieto di sorveglianza generalizzata, pur riconoscendo la necessità di un controllo più penetrante su un insieme definito di contenuti ad alto rischio.

L’onere tecnologico ricade sulle piattaforme

Se l’elemento normativo appare complesso, quello tecnologico lo è forse ancora di più. Le piattaforme hanno investito per anni in sistemi di moderazione basati sull’intelligenza artificiale in grado di riconoscere hate speech, disinformazione, contenuti terroristici o deepfake politici.

La frode finanziaria, però, richiede un set di competenze completamente diverso, in quanto non si tratta di contenuti che si distinguono per un linguaggio violento o per una narrazione identificabile, ma, al contrario, si “mimetizzano”, imitando esattamente comunicazioni legittime, brochure istituzionali, campagne promozionali bancarie, spesso con un’accuratezza tale che persino un occhio umano esperto riesce fatica ad individuare.

Le piattaforme saranno costrette quindi a sviluppare modelli di AI addestrati specificamente sulla rilevazione di schemi di impersonificazione, su pattern di comportamento riconducibili a reti criminali e su forme di manipolazione psicologica veicolate tramite video, audio e messaggi generativi.

Dovranno costruire canali privilegiati di cooperazione con gli istituti finanziari, in grado di ricevere e processare segnalazioni in pochi minuti; dovranno inoltre dotarsi di sistemi di escalation automatizzata che permettano di intervenire rapidamente ogni volta una banca individua un contenuto sospetto.

È probabile che, nel breve periodo, la capacità delle piattaforme di evitare responsabilità economiche dipenderà dalla loro capacità di sviluppare modelli di AI più raffinati, veloci e accurati rispetto a quelli attualmente in uso.

La dimensione geopolitica: un nuovo fronte del confronto USA-UE

Il tema è anche geopolitico. Negli ultimi anni Washington ha più volte collegato le grandi regolazioni digitali europee ai rapporti commerciali transatlantici: analisi recenti ricordano, ad esempio, un memorandum statunitense che minaccia l’uso di dazi per reagire a regole considerate discriminatorie nei confronti delle Big Tech americane, in particolare sul terreno di digital tax, Digital Markets Act e Digital Services Act.

In questo contesto, è difficile immaginare che il pacchetto PSD3/PSR (con la sua estensione di responsabilità verso le piattaforme) non venga letto a Washington attraverso la stessa lente di possibile frizione commerciale.

Dal punto di vista statunitense, l’imposizione di obblighi di corresponsabilità antifrode potrebbe costituire una forma di pressione normativa extraterritoriale che incide direttamente sui modelli di business delle maggiori aziende tecnologiche americane.

Per l’Europa, invece, si tratta di un tema di sovranità digitale. In poche parole: se la frode nasce su piattaforme globali, la sicurezza finanziaria europea non può dipendere unicamente da strumenti di moderazione decisi in California.

La tensione tra questi due approcci non è destinata a risolversi in tempi brevi e potrebbe diventare uno dei prossimi terreni di negoziazione commerciale tra Bruxelles e Washington.

Chi costruirà il protocollo tecnico?

Nonostante l’accordo politico sia stato raggiunto, manca ancora la parte più complessa, cioè l’infrastruttura operativa che consentirà a banche e piattaforme di interagire in modo strutturato. Il PSR introduce un obbligo, senza però indicare lo strumento per adempiervi.

Sul fronte operativo, non esistono ancora indicazioni ufficiali su chi dovrà progettare il protocollo di notifica tra PSP e piattaforme. Tuttavia, guardando ai mandati istituzionali, alcune ipotesi appaiono plausibili.

L’European Banking Authority (EBA), che già sovrintende alla sicurezza dei pagamenti e sviluppa gli standard tecnici applicativi nel quadro PSD2/PSD3, potrebbe essere chiamata a coordinare la parte finanziaria e gli aspetti di reporting del nuovo regime.

Allo stesso modo, l’Agenzia per la Cybersicurezza Nazionale, responsabile in Italia dei requisiti di sicurezza e continuità operativa per soggetti pubblici e privati, potrebbe contribuire alla definizione dei requisiti tecnici e delle misure di resilienza del canale di cooperazione.

A livello europeo, la Commissione potrebbe cercare un’armonizzazione con il quadro DSA, mentre in Italia un ruolo potrebbe spettare all’AgID o a un soggetto interministeriale.

Allo stato attuale, non esiste ancora alcuna infrastruttura pronta a gestire un flusso di segnalazioni di questa portata; il PSR, inevitabilmente, obbligherà a crearla.

Un nuovo sistema di responsabilità digitale

Il PSR è la prima normativa europea che integra sicurezza finanziaria e responsabilità delle piattaforme digitali, trasformando le Big Tech in soggetti attivi della prevenzione antifrode.

L’Europa afferma in modo esplicito che la sicurezza non può essere esclusivo appannaggio del settore bancario, perché la frode non nasce più lì, bensì nei flussi informativi, nelle piattaforme globali, nelle infrastrutture dove ogni giorno miliardi di persone si informano, si intrattengono e comunicano.

Il nuovo sistema non è privo di rischi, né di tensioni giuridiche; tuttavia, introduce un principio destinato a durare, secondo il quale chi ospita il contenuto ospita anche una parte del rischio.

È una scelta che ridefinisce l’architettura digitale europea e che, verosimilmente, aprirà la strada a futuri interventi normativi su altre tipologie di danno e su altre forme di responsabilità.

L’UE ha scelto di uscire dalla logica della neutralità tecnologica delle piattaforme e questa scelta è destinata a segnare l’inizio di una nuova stagione nella governance digitale del continente.